2023年國際重大網絡安全事件年度盤點
2023年是網絡安全領域里程碑式的一年。威脅組織利用他們掌握的所有工具,突破企業(yè)的防御機制。對于消費者來說,又是隱私持續(xù)曝光的一年,層出不窮的數(shù)據(jù)泄露事件讓個人隱私備受威脅。
據(jù)《數(shù)據(jù)泄露調查報告(DBIR)》指出,外部行為應對絕大多數(shù)(83%)的泄露事件負責,而經濟利益幾乎是所有(95%)泄露事件的初衷。這就是為什么會將下述文中的大多數(shù)事件歸結為勒索軟件或數(shù)據(jù)盜竊勒索者,但有時,數(shù)據(jù)泄露的原因還可能涉及人為錯誤或惡意的內部人員。
以下為挑選出的2023年國際十大攻擊事件,排名不分先后。
1. MOVEit漏洞
2023年5月下旬,MOVEit文件傳輸解決方案被曝存在嚴重的SQL注入漏洞(CVE-2023-34362),可能導致權限升級和對環(huán)境的潛在未經授權訪問。換句話說,該漏洞可能使黑客訪問MOVEit并竊取數(shù)據(jù)。
2023年6月6日,勒索軟件組織Clop聲稱將針對Progress Software的MOVEit傳輸工具的攻擊負責。作案手法很簡單:利用流行軟件產品中的零日漏洞進入客戶環(huán)境,然后泄露盡可能多的數(shù)據(jù)來勒索贖金。目前還不清楚究竟有多少數(shù)據(jù)被竊取。但據(jù)估計,有2600多個組織和8300多萬人參與其中。按地域來看,北美企業(yè)受影響最重,占比超過90%(美國77.8%、加拿大14.2%),在受影響行業(yè)方面,教育、衛(wèi)生、金融最為嚴重。
按照行業(yè)預測的數(shù)據(jù)泄露的平均成本來看,MOVEit漏洞事件可能造成全球范圍內100億美元以上的經濟損失影響,主要體現(xiàn)在贖金支付、事件影響、違約責任等一系列支出上,同時造成的海量數(shù)據(jù)泄露可能進一步成為犯罪誘因。
除了經濟損失外,還會產生一系列的持續(xù)性影響,目標組織就算支付贖金,也不排除其重要數(shù)據(jù)會在未來被泄露的可能性,且供應鏈之間存在的上下游影響,甚至會對未來產生更復雜的安全影響。
MOVEit背后的Progress Software公司公布了有關關鍵安全漏洞的詳細信息,并于2023年5月31日發(fā)布了補丁,敦促客戶立即部署該漏洞或采取公司咨詢中概述的緩解措施。
2. 英國選舉委員會
2023年8月,英國選舉委員會遭遇大規(guī)模數(shù)據(jù)泄露,2014年-2022年期間在英國注冊投票的所有個人數(shù)據(jù)(包括姓名和家庭住址)全部被盜,影響了大約4000萬選民。
雖然英國選舉委員會聲稱,此次事件是由“復雜的”網絡攻擊造成的,但此后的報道表明,其本身的網絡安全狀況就很差——該組織沒有通過“網絡必需品”的基線安全審計。一個未打補丁的微軟Exchange服務器可能是罪魁禍首。該公司還聲稱,自2021年8月以來,威脅組織可能一直在探測其網絡。
作為回應,該委員會在后續(xù)聲明中向所有受影響的人道歉,并表示會與安全專家合作調查該事件,并確保其系統(tǒng)免受進一步攻擊。目前還沒有跡象表明誰可能是此次泄露事件的幕后黑手。
3. 北愛爾蘭警察局(PSNI)
這是一個既屬于內部泄露的事件,也是一個相對較少的受害者可能遭受巨大影響的事件。2023年8月,北愛爾蘭警局發(fā)布聲明稱,一名員工應《信息自由法》(Freedom of Information, FOI)的要求,不小心將敏感的內部數(shù)據(jù)泄露到了What Do They Know網站。這些信息包括大約1萬名官員和文職人員的姓名、軍銜和部門,其中甚至還包括從事監(jiān)視和情報工作的人員。
盡管這些數(shù)據(jù)只發(fā)布了兩個小時就被撤下,但這段時間足以讓信息在愛爾蘭共和派異見人士之間傳播,引發(fā)了前所未有的安全威脅。
數(shù)據(jù)顯示,自泄露事件發(fā)生以來,已有約近2000名員工向警方表示擔憂,許多人在社交媒體上更改了自己的名字,甚至完全刪除了自己的賬戶。
作為回應,警察局長公開致歉,并對受影響的員工進行了賠償。一位文職人員指出,后勤人員只能收到大約500英鎊的危險金,而一名涉險官員最多可以獲得3500英鎊賠償。
4. DarkBeam
2023年最大的數(shù)據(jù)泄露事件當屬數(shù)字風險平臺DarkBeam意外暴露了38億條記錄,起因是其錯誤配置了Elasticsearch和Kibana數(shù)據(jù)可視化界面。一名安全研究人員注意到了這一隱私問題,并通知了該公司,該公司也迅速糾正了這一問題。然而,目前還不清楚這些數(shù)據(jù)暴露了多長時間,也不清楚之前是否有人惡意訪問過這些數(shù)據(jù)。
具有諷刺意味的是,這些數(shù)據(jù)中的大部分都是來自之前的數(shù)據(jù)泄露事件,而這些數(shù)據(jù)都是由DarkBeam收集的,目的是提醒用戶注意影響其個人信息的安全事件、DarkBeam所持有信息的范圍及方式。此外,這起事件也再次強調密切和持續(xù)監(jiān)控系統(tǒng)配置錯誤的重要性。
5. 印度醫(yī)學研究委員會(ICMR)
今年10月,一名黑客將8.15億印度居民的個人信息出售,這是印度最大的一起大型數(shù)據(jù)泄露事件。這些數(shù)據(jù)似乎是從ICMR的新冠病毒檢測數(shù)據(jù)庫中竊取的,包括姓名、年齡、性別、地址、護照號碼和Aadhaar(政府身份證號碼)。在印度,Aadhaar可以用作數(shù)字身份證,用于支付賬單等操作。
此次事件尤其具有破壞性,因為黑客可能利用這些來嘗試一系列身份欺詐攻擊。
6. 23andme
2023年9月底,一名威脅分子在黑客論壇上泄露了名為“Ashkenazi DNA Data of Celebrities.csv”的CSV文件中的23andMe公司客戶數(shù)據(jù)。據(jù)稱,該文件包含近100萬德系猶太人的數(shù)據(jù),他們使用23andMe服務查找其祖先信息、遺傳傾向等。
CSV文件中的數(shù)據(jù)包含有關23andMe用戶的帳戶ID、全名、性別、出生日期、DNA 配置文件、遺傳血統(tǒng)結果、位置和地區(qū)詳細信息的信息。
在回應調查時,23andMe聲稱,黑客是通過對安全性較弱的帳戶進行撞庫攻擊來訪問其平臺的。攻擊者最初獲得了少數(shù)賬戶的未經授權的訪問,但最終竊取了更多但數(shù)量未定義的客戶數(shù)據(jù),因為他們激活了一個名為“DNA 親屬”的可選功能,該功能連接了遺傳親屬,從而允許威脅行為者訪問并從潛在親屬那里獲取更多的數(shù)據(jù)點。
7. Rapid Reset DDoS攻擊
10月份披露的HTTP/2協(xié)議中存在一個零日漏洞(CVE-2023-44487)。簡單來說,攻擊方法濫用了HTTP/2的流取消功能,不斷發(fā)送和取消請求,以壓倒目標服務器/應用程序,導致拒絕服務狀態(tài)。HTTP/2協(xié)議具有一種保護機制,即限制并發(fā)活動流的數(shù)量,以防止拒絕服務攻擊。然而,這并不總是有效。協(xié)議開發(fā)人員引入了一種更有效的措施,稱為“請求取消”,它不會終止整個連接,但可以被濫用。
自8月底以來,惡意行為者一直在濫用這個功能,向服務器發(fā)送大量的HTTP/2請求和重置(RST_Stream幀),要求服務器處理每個請求并執(zhí)行快速重置,從而超出其響應新請求的能力。
該漏洞使威脅行為者能夠發(fā)起一些有史以來最大的DDoS攻擊。谷歌表示,這些請求達到了每秒3.98億次的峰值,而之前的最高速度為每秒4600萬次。目前,像谷歌和Cloudflare這樣的互聯(lián)網巨頭已經修補了這個漏洞,但管理自己互聯(lián)網業(yè)務的公司還需要立即跟進。
8. T-mobile
這家美國電信公司近年來遭遇了許多數(shù)據(jù)泄露事件,但2023年1月披露的事件是迄今為止最大的數(shù)據(jù)泄露事件之一。它影響了3700萬客戶,泄露數(shù)據(jù)包含客戶姓名、地址、電話號碼、出生日期、電子郵箱、T-mobile賬戶號碼等。
4月份披露的第二次事件僅影響了800多名客戶,但涉及的數(shù)據(jù)點更多,包括T-Mobile賬戶pin、社會安全號碼、政府ID詳細信息、出生日期以及該公司用于服務客戶賬戶的內部代碼。
9. 米高梅國際(MGM)/凱撒(Cesars)
拉斯維加斯的兩家大公司在幾天內接連遭到了ALPHV/BlackCat勒索軟件分支機構“Scattered Spider”的攻擊。在米高梅的案例中,他們僅僅通過在領英(LinkedIn)上的一些研究,就成功地獲得了網絡訪問權限,然后對個人進行了網絡釣魚攻擊,通過冒充IT部門成功獲取了目標的登錄憑據(jù)。這起事件給公司帶來了重大的財務損失,它被迫關閉了主要的IT系統(tǒng),導致老虎機、餐廳管理系統(tǒng)甚至房間鑰匙卡中斷了很多天,整體損失預計高達1億美元。凱撒的損失尚不清楚,該公司承認向勒索者支付了1500萬美元。
10. 五角大樓泄密
對于美國和任何擔心惡意內部人員的大型組織來說,最后這起事件無疑具有警示意義。21歲的杰克·特謝拉(Jack Teixeira)是馬薩諸塞州空軍國民警衛(wèi)隊情報部門的一名成員,他泄露了高度敏感的軍事文件,目的只是為了在其Discord社區(qū)中進行吹噓。這些帖子隨后在其他平臺上被分享,并被追蹤烏克蘭戰(zhàn)爭的俄羅斯人轉發(fā)。這些信息為俄羅斯在烏克蘭的戰(zhàn)爭提供了寶貴的軍事情報,并破壞了美國與其盟友的關系。但最令人難以置信的是,Teixeira能夠打印出最高機密文件,并將其帶回家拍照并隨意上傳。
以上就是2023年最具代表性的10起重大安全事件,希望這些事件能提供一些有用的經驗教訓。
原文來源:嘶吼專業(yè)版